IDP 署名データベースの更新
ジュニパーネットワークスは、定義済みの攻撃データベースを定期的に更新し、ジュニパーネットワークスの Web サイトで公開しています。このデータベースには、IDP ポリシーで使用でき、トラフィックを既知の攻撃と照合できる攻撃オブジェクト グループが含まれています。事前定義された攻撃オブジェクトを作成、編集、または削除することはできませんが、CLI を使用して、IDP ポリシーで使用できる攻撃オブジェクトのリストを更新できます。
シグネチャ データベースを更新するには、ジュニパーネットワークスの Web サイトから、または明示的な Web プロキシ サーバーを介してセキュリティ パッケージをダウンロードします。セキュリティ パッケージは、次の IDP コンポーネントで構成されています。
| コンポーネントの説明 | |
|---|---|
| 攻撃オブジェクト | 特定の攻撃パターンを検知する個別のシグネチャ。 |
| 攻撃オブジェクトグループ | ポリシー管理を容易にするためにグループ化された、関連する攻撃オブジェクトのコレクション。 |
| アプリケーションオブジェクト | トラフィックのインスペクションとポリシー適用に使用される特定のアプリケーション。 |
| IDP 検出器エンジンの更新 | シグネチャの検出と精度を向上させる機能強化。 |
| IDP ポリシー テンプレート | 迅速なポリシー設定のための事前定義されたルールセット。「 事前定義されたIDPポリシーテンプレートについて」を参照してください。 |
既定では、セキュリティ パッケージをダウンロードすると、デバイスの Staging フォルダーにコンポーネントが含まれます。
-
完全な攻撃オブジェクトグループ表の最新バージョン
-
アプリケーションオブジェクトテーブル
-
IDP Detector Engine の更新
サイズが大きいため、システムは攻撃オブジェクト テーブルの更新のみをダウンロードしますが、 full-update 設定オプションを使用してテーブル全体をダウンロードできます。ダウンロード後、パッケージをインストールして、セキュリティ データベースを新しい更新プログラムで更新します。インストール後に設定をコミットすると、コミットチェックと同様に、すべてのポリシーの構文チェックが行われます。
いずれかのポリシーのアタックが新しいシグニチャ データベースから削除されると、コミット チェックは失敗します。IDP シグネチャ データベースを更新しても、ポリシー内の攻撃は自動的に更新されません。例えば、バージョン1200で攻撃 FTP:USER:ROOT のあるポリシーを設定し、バージョン1201をそれなしでダウンロードした場合、コミットチェックは失敗します。欠落している攻撃をポリシーから削除して、正常にコミットします。新しい IDP ポリシーの読み込みに失敗した場合、IDP 署名の更新が失敗し、システムが最後の既知の正常なポリシーを読み込む可能性があります。問題が解決され、有効なポリシーがアクティブになると、更新が機能します。
例:シグニチャ データベースの自動更新
この例では、シグニチャ データベースの更新を自動的にダウンロードする方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
指定した間隔でシグネチャ データベースの更新を自動的にダウンロードするようにデバイスを設定できます。
この例では、12 月 10 日午後 11 時 59 分から 48 時間ごとに、攻撃オブジェクトと攻撃オブジェクト グループの完全なテーブルを含むセキュリティ パッケージをダウンロードします。また、セキュリティ パッケージの自動ダウンロードと更新も有効にします。
構成
プロシージャ
手順
定義済みの攻撃オブジェクトをダウンロードして更新するには:
セキュリティ パッケージの URL を指定します。
[edit] user@host# set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
既定では、URL は https://signatures.juniper.net/cgi-bin/index.cgi です。
ダウンロードの時間と間隔の値を指定します。
[edit] user@host# set security idp security-package automatic interval 48 start-time 2009-12-10.23:59:00
セキュリティパッケージの自動ダウンロードと更新を有効にします。
[edit] user@host# set security idp security-package automatic enable
デバイスの設定が完了したら、設定をコミットします。
[edit] user@host# commit
例:IDP 署名データベースを手動で更新する
セキュリティ パッケージをダウンロードした後、パッケージをインストールして、デバイスの Staging フォルダーから新しくダウンロードした更新プログラムでセキュリティ データベースを更新する必要があります。
この例では、IDP 署名データベースを手動で更新する方法を示しています。
必要条件
開始する前に、ネットワークインターフェイスを設定します。
概要
この例では、攻撃オブジェクトと攻撃オブジェクト グループの完全なテーブルを含むセキュリティ パッケージをダウンロードします。インストールが完了すると、攻撃オブジェクトと攻撃オブジェクトグループは、CLIの[edit security idp idp-policy]階層レベルのpredefined-attack-groupsおよびpredefined-attacks設定ステートメントで使用できます。ポリシーを作成し、新しいポリシーをアクティブなポリシーとして指定します。また、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードし、これらの新しいアップデートで攻撃データベース、実行中のポリシー、ディテクタを更新します。
構成
プロシージャ
CLIクイック構成
設定中に手動による介入が必要になるため、この例ではCLI簡易設定は使用できません。
手順
次の例では、設定階層のいくつかのレベルに移動する必要があります。その方法の詳細については、CLIユーザー ガイドの 設定モードにおけるCLIエディターの使用を参照してください。
シグネチャ データベースを手動でダウンロードして更新するには、次の手順を実行します。
セキュリティ パッケージの URL を指定します。
[edit] user@host#set security idp security-package url https://signatures.juniper.net/cgi-bin/index.cgi
デフォルトの URL は https://signatures.juniper.net/cgi-bin/index.cgi です。
設定をコミットします。
[edit] user@host# commit
動作モードに切り替えます。
[edit] user@host# exit
セキュリティ パッケージをダウンロードします。
user@host>request security idp security-package download full-update
デバイスでオフライン署名パッケージのダウンロードを実行できます。署名パッケージをダウンロードして、デバイス内の任意の共通の場所にパッケージをコピーし、
request security idp security-package offline-downloadコマンドを使用してパッケージをオフラインでダウンロードできます。署名パッケージのインストールは同じままで、常に完全な更新になります。
セキュリティ パッケージのダウンロード状態を確認します。
user@host>request security idp security-package download status
install コマンドを使用して攻撃データベースを更新します。
user@host>request security idp security-package install
次のコマンドを使用して、攻撃データベースの更新ステータスを確認します(コマンド出力には、攻撃データベースのバージョンのダウンロードおよびインストールされたバージョンに関する情報が表示されます)。
user@host>request security idp security-package install status
設定モードに切り替えます。
user@host>configure
IDP ポリシーを作成します。
[edit ] user@host#edit security idp idp-policy policy1
攻撃オブジェクトまたは攻撃オブジェクト グループをポリシーに関連付けます。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 match attacks predefined-attack-groups “Response_Critical”
ルールでアクションが必要かどうかを設定します。
[edit security idp idp-policy policy1] user@host#set rulebase-ips rule rule1 then action no-action
ポリシーをアクティブ化します。
[edit] user@host#set security idp active-policy policy1
設定をコミットします。
[edit] user@host# commit
1週間後、ジュニパーネットワークスが最近アップロードしたアップデートのみをダウンロードしてください。
user@host>request security idp security-package download
セキュリティ パッケージのダウンロード状態を確認します。
user@host>request security idp security-package download status
攻撃データベース、アクティブ ポリシー、およびディテクタを新しい変更で更新します。
user@host>request security idp security-package install
インストールステータスを使用して、攻撃データベース、アクティブなポリシー、およびディテクタを確認します。
user@host>request security idp security-package install status
新しいバージョンの攻撃データベースから攻撃が削除される可能性があります。この攻撃がデバイス上の既存のポリシーで使用される場合、新しいデータベースのインストールは失敗します。インストール状況メッセージは、無効になった攻撃を識別します。データベースを正常に更新するには、削除された攻撃への参照をすべて既存のポリシーおよびグループから削除し、install コマンドを再実行します。
業績
設定モードから、 show security idp コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。
[edit]
user@host# show security idp
idp-policy policy1 {
rulebase-ips {
rule rule1 {
match {
attacks {
predefined-attack-groups Response_Critical;
}
}
then {
action {
no-action;
}
}
}
}
}
デバイスの設定が完了したら、設定モードから commit を入力します。